訪問控制 RAM(Resource Access Management)是阿里云提供的管理用戶身份與資源訪問權限的服務,能夠幫助您安全集中地管理云資源的用戶以及用戶對云資源的使用和訪問。私網連接(PrivateLink)支持通過RAM,實現對產品資源的訪問控制和管理。本文主要介紹RAM的訪問控制功能對私網連接資源安全性的作用。
概述
訪問控制RAM使用權限來描述用戶、用戶組、角色對具體資源的訪問能力,權限策略是一組訪問權限的集合。RAM用戶、用戶組或RAM角色通過綁定權限策略,可以獲得權限策略中指定的訪問權限。
權限
云賬號、RAM用戶、資源創建者所擁有的權限說明如下:
- 云賬號(資源屬主)控制所有權限。
- 每個資源有且僅有一個資源屬主,該資源屬主必須是云賬號,對資源擁有完全控制權限。
- 資源屬主不一定是資源創建者。例如:一個RAM用戶被授予創建資源的權限,該用戶創建的資源歸屬于云賬號,該用戶是資源創建者但不是資源屬主。
- RAM用戶(操作員)默認無任何權限。
- RAM用戶代表的是操作員,其所有操作都需被云賬號顯式授權。
- 新建的RAM用戶默認沒有任何操作權限,只有在被授權之后,才能通過控制臺和RAM操作資源。
- 資源創建者(RAM用戶)默認對所創建資源沒有任何權限。
- RAM用戶被授予創建資源的權限,用戶將可以創建資源。
- RAM用戶默認對所創建資源沒有任何權限,除非資源屬主對RAM用戶有顯式的授權。
權限策略
權限策略是用語法結構描述的一組權限的集合,可以精確地描述被授權的資源集、操作集以及授權條件。
RAM支持以下兩種權限策略:
系統策略:統一由阿里云創建,您只能使用不能修改,策略的版本更新由阿里云維護。私網連接的系統策略,請參見私網連接系統權限策略參考。
自定義策略:如果系統策略不能滿足您的要求,您可以創建自定義策略實現精細化的權限管理。如何創建自定義策略,請參見私網連接自定義權限策略參考。
為RAM主體綁定權限策略
權限策略創建后,RAM用戶、用戶組或RAM角色需綁定權限策略,才能獲得權限策略中指定的訪問權限。
支持為RAM用戶、用戶組或RAM角色綁定一個或多個權限策略。
綁定的權限策略可以是系統策略也可以是自定義策略。
如果綁定的權限策略被更新,更新后的權限策略自動生效,無需重新綁定權限策略。
使用服務關聯角色
使用私網連接訪問其他云資源時,私網連接會在獲得您的授權后,創建一個對應的服務關聯角色,用于允許私網連接訪問其他云資源。私網連接涉及的服務關聯角色如下:
服務關聯角色 | 作用 |
AliyunServiceRoleForPrivatelink | 在創建終端節點時,通過服務關聯角色獲取訪問其他云資源的權限 |
多數情況下,在您使用特定功能時,關聯的云服務會在您的授權下自動創建或刪除服務關聯角色,不需要您主動創建或刪除。通過服務關聯角色可以更好地配置云服務正常操作所必需的權限,避免誤操作帶來的風險。
服務關聯角色會占用您的RAM角色配額。當RAM角色數量超限時,您仍然可以成功創建服務關聯角色,但無法創建其他類型的角色。關于RAM角色支持的數量,請參見使用限制。
如果您不再使用私網連接產品,例如不需要創建和管理私網連接資源等,可以刪除私網連接所使用的以上服務關聯角色。刪除以上服務關聯角色時,請先確保當前賬號下沒有終端節點實例。